오늘은 안드로이드 스마트폰 클리너로 위장하는 SharkBot 뱅킹 악성코드인 Mister Phone Cleaner.apk(2022.09.06)에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 구글 플레이 스토어 에서 다음 주소로 유포되었으며 지금은 해당 APK 파일은 구글에서 삭제한 상태입니다. https://play.google(.)com/store/apps/details?id=com.mbkristine8.cleanmaster SharkBot 뱅킹 악성코드는 크리덴셜 과 은행 정보를 훔치는 작업을 하는 악성코드입니다. 먼저 해당 악성코드의 안드로이드 권한은 다음과 같습니다. 이며 특정 앱 종료를 위한 권한, 블루투스 권한, 외장 디스크 읽고 쓰기 권한, 앱이 계정의 동기화 설정을 수정, 와이파이 권..
몸캠 이라는 것은 영어로는 sextortion로 부르고 있으며 피해자로부터 성적 호기심 등을 이용해서 몰래 녹화, 녹음을 통해서 금전 및 가상화폐 등을 요구하는 범죄입니다. 보통 몸캠 하자고 유혹하여 해킹 어플을 설치하게 하거나 해킹 링크로의 접속을 유도하고 상대방에게 노출 사진을 찍게 하게 하고 이것을 스마트폰에 저장된 연락처에 퍼뜨리겠다는 협박을 통해 돈을 뜯어내는 사기 방법을 사용하고 있으며 스카이프 등 스마트폰 채팅 어플을 통해 음란 화상 채팅(몸캠피싱)을 하자고 접근하여 피해자의 음란한 행위를 녹화하고 피해자의 스마트폰에 악성코드를 심어 피해자 지인의 연락처를 탈취한 다음 지인들에게 녹화해둔 영상(사진)을 유포하겠다고 협박하여 금전을 갈취하는 범죄라고 보시면 됩니다. 악성코드 유포 사이트 htt..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group) 하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 Drop..
마이크로소프트에서 제공하는 백신 프로그램(안티 바이러스) 프로그램인 마이크로소프트 디펜더(Microsoft Defender), 구 명칭 윈도우 디펜더(Windows Defender)에서 윈도우 에서 프로그램을 실행 할떄 마다 구글 크롬, Microsoft Edge(마이크로소프트 에지), Discord(디스코드),Electron(일렉트론) 프로그램을 Win32/Hive.ZY 로 오진을 하고 있습니다. 해당 업데이트는 일요일 아침에 시작 서명 업데이트 1.373.1508.0 업데이트에서 문제가 터지고 있으며 해당 Win32/Hive.ZY 오진은 의심스러운 동작에 대한 이 일반 탐지는 잠재적인 악성 파일을 포착하도록 설계돼 있으며 파일을 내려받았거나 이메일을 통해 받았으면 파일을 열기 전에 신뢰할 수 있는 출..
오늘은 구글 크롬 공식 스토어 에서 구글 크롬 탐색 활동을 훔치는 악성코드 구글 크롬 부가기능에 인 Netflix Party에 대해 알아보겠습니다. 해당 유포되었던 구글 크롬 부가기능 주소는 다음과 같습니다. https://chrome.google(.)com/webstore/detail/netflix-party/mmnbenehknklpbendgmgngeaignppnbe?hl=ko 현재 폭발이 되었음 해당 악성코드는 넷플릭스 비디오 열기 친구와 파티 링크 공유 가입, 프로필 및 채팅을 사용하여 이름과 아바타를 변경하여 친구들과 항상 채팅할 수 있습니다. 해당 악성코드는 의도한 기능을 제공하는 것 외에도 확장 프로그램은 사용자의 탐색 활동도 추적을 하며 방문한 모든 웹사이트는 확장 프로그램 작성자가 소유한 ..
오늘은 북한 해커 단체인 김수키(Kimsuky)가 러시아 외부무를 공격을 하기 위한 만든 악성코드인 _Pyongyang in talks with Moscow on access to Donbass에 대해 알아보겠습니다. 해당 악성코드는 북한 김수키(Kimsuky)에 의해서 제작이 된 악성코드로 심양 러시아 총영사관 계정을 사용하여 일본 러시아 총영사관에 추가 공격을 하려고 제작된 악성코드로 추측되면 해당 악성코드는 Donbass.zip 로 파일로 압축이 되어져 있으며 압축 파일에서는 2개의 파일이 존재하고 있습니다. _Pyongyang in talks with Moscow on access to Donbass.pptx Donbass.ppam PPTX 파일은 Microsoft PowerPoint Open X..
오늘은 한미 연합 훈련 킬 체인 웨비나 일정으로 위장한 악성코드인 1. doc에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 만들어진 악성코드로 일단 해당 악성코드는 이메일을 통해서 전파가 되어 있으며 국내 특정 기관으로 속여서 조언을 요청하기 위해서 이메일을 전송하면 해당 악성코드의 특징은 예전 방식은 그냥 무작위로 이메일을 악성코드를 포함해서 이메일 보냈다고 하면 이제는 메일에 직접 워드 문서를 첨부하지 않고 공격 대상이 되는 대상이 나 답장받고 싶어요. 하고 답장을 보면 답장 이메일에 악성코드가 포함된 워드 문서를 주소를 보내 주고 해당 문서를 내려받길 실행을 하면 악성코드가 감염되는 방식을 취하고 있습니다. ..
오늘은 악성코드 VBA 매크로 비밀번호 푸는 방법에 대해 글을 적어 보겠습니다. 해당 글에 관심 있으신 분들은 2가지 분류가 아닐까 생각이 됩니다. 첫 번째는 VBA 에 암호를 걸어 놓았는데 잊어버려서 아니면 악성코드 분석하는데 악성코드 제작자가 VBA 에다가 암호를 걸어 놓아서 분석을 방해하기 위해서 이걸 해제하기 위해서 일 것입니다. VBA 이라는 것은 Visual Basic for Applications의 약자로 Microsoft Office(마이크로소프트 오피스)에 내장된 프로그래밍 언어이며 주 용도는 매크로를 돌리고 사용자 정의 함수를 사용하는 것으로 컴퓨터활용능력 1급을 시험을 보시는 분들에게는 반드시 알아야 한다고 알고 있습니다. 물론 손재주가 좋으신 분들은 긍정적으로 게임을 만드는 것을 시..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group)하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 DropP..
오늘은 구글 플레이 스토어 에서 QR 코드 스캐너로 위장해서 악성코드를 유포하는 QRScanner에 대해 글을 적어 보겠습니다. QR 코드라는 것은 2차원 매트릭스 형태로 이루어진 정보 표시 방법이며 QR는 Quick Response의 약자이고 1994년 일본의 덴소 웨이브(デンソーウェーブ) 에서 처음으로 개발하고 보급을 하고 있습니다. 한국에서는 아마도 작년 코로나 19 상황에서 QR 코드 전자출입명부를 만들어서 사용했을 것입니다. 일단 해당 악성코드인 QRScanner 은 QR 코드를 스캔하지만 여기서 악성코드 동작도 하고 있습니다. 일단 구글 플레이 스토어 에 표시된 앱 내용은 다음과 같습니다. https://play.google(.)com/store/apps/details?id=com.scanne..
오늘은 로그라이크 던전 데빌 슬레이어 락사시(Devil Slayer-Raksasi) 이라는 게임을 무설치 한글 최신 버전이라는 식으로 웹하드 에 유포가 되고 있으며 그리고 토렌트 등에서도 유포되고 있을 가능성도 큽니다. 제목은 로그라이트 던전 크롤러 데빌 슬레이어 락사시 로 유포가 되고 있으면 압축 파일을 풀고 나서 raksasi.exe 를 실행을 하면 악성코드는 동작하는 형태입니다. 해당 악성코드의 최종 목적은 XMRig 즉 모네로 코인 마이너 작업을 통한 모네로 코인 이라는 가상화폐 채굴에 목적이 있으며 해당 유포되었던 웹 하드에서는 댓글로 백신 프로그램에서 악성코드를 탐지하고 있다고 댓글을 써 놓기도 했습니다. 물론 해당 악성코드를 업로드 한 사람인지 아니며 단순히 파일을 다운로드 해서 이차적으로 ..
오늘은 구글 플레이 스토어 에서 유포를 했으면 다운로드 는 약 5000 정도 이루어졌고 현재는 구글 플레이 스토어 에서는 폐쇄되었지만, 여전히 APK 등을 공식 구글 플레이 스토어 가 아닌 APK 파일을 다운로드 할 수가 있는 사이트들에서는 유포되고 있습니다. 바닐라 카메라(Vanilla Camera ) 놀라운 필터로 놀라운 셀카를 찍을 수 있는 모든 기능을 갖춘 전문 카메라입니다! (is a full-featured professional camera for taking incredible selfies with amazing filters! ) 카메라 기능:(Camera Features:) 다양한 스타일의 전문적인 효과(Professional effects in different styles) 세련된..
오늘은 구글 플레이 스토어 에서 유포되었던 Autolycos 악성코드인 Freeglow Camera에 대해서 글을 적어 보겠습니다. 일단 해당 악성코드는 5,000 다운로드 를 기록을 했고 해당 악성코드에 많은 사람이 감염되었다는 것을 확인할 수가 있습니다. Autolycos는 원격 브라우저에서 URL을 실행한 다음 Webview를 사용하는 대신 HTTP 요청에 결과를 포함하는 등 은밀한 악성 행위를 수행하는 악성 코드이며 즉 동작은 해당 동작을 덜 눈에 띄게 하여 손상된 장치의 사용자가 감지하지 못하도록 하기 위한 목적입니다. 악성코드들은 스마트폰에 설치 시 SMS(문자)를 읽을 수 있는 권한을 요청해서 앱이 피해자의 SMS 문자 메시지에 액세스 할 수 있도록 하고 있으며 새로운 사용자에게 앱을 홍보하..
오늘은 구글 플레이 스토어 에서 유포되고 있는 악성코드인 Advanced SMS(2022.07.12)에 대해 알아보겠습니다. 해당 악성코드는 조크(Joker)바이러스는 보통 컴퓨터를 파괴, 스마트폰 파괴를 목적으로 하는 것이 아니고 단순히 사용자를 겁주거나 하는 정도로 사용을 되는 악성코드입니다. 단 해당 진단명을 보면 트로이 목마로 진단하는 것을 보면 윈치 않는 프로그램을 설치하거나 하면 일단 잠재적인 위험 정도일 것입니다. 먼저 악성코드 해쉬값은 다음과 같습니다. 파일명:Advanced SMS_1.0.1_sws.apk 사이즈:10.4 MB CRC32:59c29092 MD5:a4081f627eb9bb24d3945087ae6541a1 SHA-1:f0e24059eb56564ae090fb4d30de006c7..
오늘은 악성코드 감염 시 윈도우 복구 도구인 Windows Malware Effects Remediation Tool에 대해 글을 적어 보겠습니다. 해당 Windows Malware Effects Remediation Tool은 악성코드 공격이 성공하고 악성코드를 치료하고 난 후 악성코드 공격의 영향으로 운영 체제의 특정 기능 및 도구에 대한 실행 또는 접근이 제한될 수가 있습니다. 관리자가 기능을 복원할 수 있도록 지원하는 오픈 소스 프로그램이며 10개의 사용 가능한 수정사항을 포함하는 단일 창 인터페이스가 있습니다. 각 수정사항에는 수정사항을 적용하거나 실행을 할 수가 있습니다. 기본 컴퓨터 요구 사항은 다음과 같습니다. Windows 7, Windows 8.0, Windows 8.1, Windows..
오늘은 우크라이나 정부 기부 사이트 피싱 사이트인 euro24dopomoga0에 대해 알아보겠습니다.일단 2022년 2월에 러시아의 공격으로 부터 우크라이나 정부는 러시아 군 과 전투를 하고 있습니다.우크라이나는 지금 러시아군에 맞서서 서방 국가 들과 자유 와 평화를 수호하기 위해서 싸우고 있습니다.그리고 우크라이나 정부는 우크라이나가 암호화폐 거래소 FTX의 도움을 받아 러시아의 공격을 방어하는데 필요한 자금 마련을 위한 암호화폐 기부 사이트를 만들어서 러시아 로 부터 싸우고 있습니다. 우크라이나 에게 도움을(Aid for Ukraine) 이라는 이 계획은 FTX, 스테이킹 서비스 회사 에버스테이크 및 우크라이나의 합작품입니다. 해당 사이트는 FTX는 기부받은 암호화폐를 법정 통화로 환전해 우크라이나 ..
오늘은 안드로이드 스마트폰의 개인정보 탈취를 하려고 만들어진 악성코드인 gen_signed에 대해 글을 적어 보겠습니다. 일단 악성코드는 설치하면 live sexy이라는 이름으로 돼 있으며 일단 해당 어플을 실행을 하면 성인 어플이라는것을 볼 수가 있으면 그리고 해당 성인을 위한 영상들을 보려고 하면 기본적으로 신용카드 번호, 신용카드 CVV 정보, 이메일 주소 이메일 주소는 OTP를 수신 및 악성코드를 입력하기 위해서 준비돼 있습니다. 즉 탈취를 시도하는 개인 정보의 종류는 금융이나 암호화폐와 관련된 정보가 주 타켓 입니다. 일단 이란 리알 을 사용을 하는 것으로 보면 이란에 있는 사람을 목표로 삼는 것으로 추측할 수가 있습니다. 그리고 요구 금액은 2,000리알 구글에서 환율 계산을 하면 61.80원..
오늘은 해외 선물 투자 ETF 로 위장하는 악성코드 사이트에 대해 글을 적어 보겠습니다. 일단 개인적으로 노트북이 성능이 안 좋아서 버추얼 박스 및 VM웨어 에서 가상환경을 실행 및 분석을 진행하지 못했습니다. 일단 해당 악성코드 유포 사이트는 해외 선물 투자ETF 위장을 하고 있으면 구글로 검색을 해보니 플러스자산운용(주)을 피싱 사이트로 추정이 됩니다. 일단 해당 사이트에서는 성공투자의 시작 증권사 연동을 통한 신속하고 정확한 체결과 지속적인 프로그램 관리로 안정적인 투자환경을 제공합니다. 트레이딩 다운받기 라는 부분을 통해서 악성코드인 ETF_SETUP.exe를 다운로드 하면 해당 악성코드 다운로드 주소는 다음과 같습니다. https://plusasset(.)net/install/ETF_SETUP...
최근 전화금융사기 조직들은 유명 은행으로 속인 피싱 사이트를 만들고 피싱 사이트에서 앱을 다운로드 해서 설치를 유도해 고객의 돈을 훔치는 행동을 하고 있습니다. 그리고 물론 해당 악성코드를 설치하면 당연히 진짜 고객센터로 연결되지 않고 경찰서, 검찰청으로 신고해도 보이스피싱 조직에 전화가 걸리게 구조가 돼 있습니다. 오늘은 이런 보이스피싱범 들이 만든 악성코드인 신한은행.apk에 대해 글을 적어 보겠습니다. 일단 기본적으로 악성코드는 다음과 같은 사이트로 유도하고 있습니다. 해당 악성코드를 실행하면 앞서 이야기한 것처럼 기본 전화 앱을 신한은행 사칭하는 악성코드로 변경하게 강요를 하면 해당 방법을 통해서 보이스피싱범과 통화하게 연결하기 위한 장치입니다. 일단 해쉬값은 다음과 같습니다. 파일명:sinhan..
오늘은 VPN 앱 으로 위장하는 악성코드인 SecureVPN_108.apk에 대해 글을 적어 보겠습니다. VPN이라는 것은 자신의 국가에서 다른 서비스를 이용하고 싶거나 아니면 넷플릭스 같은 곳에서 다른 국가에서 서비스되고 있는 넷플릭스 서비스 등을 이용하고 싶으면 이런 VPN 서비스를 이용합니다. 그런데 이런 VPN 서비스도 인지도가 있는 서비스를 이용해야지 문제가 되지 않지만, 무료 VPN 들은 개인정보를 가져가는 데 이용이 됩니다. 오늘은 이런 VPN 서비스를 제공하는 척하면서 개인정보를 가져가는 악성코드에 대해 글을 적어 보겠습니다. 먼저 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명:SecureVPN_108.apk 사이즈:31.5 MB CRC32:ed8f5960 MD5:a45ec8749eac..
코로나 19 상황으로 사람들이 고통을 받고 있습니다. 해당 악성코드는 정부 지원금을 주겠다고 하고 있으며 보이스피싱 악성코드인 kakaobank.apk(2022.2.14)에 대해 알아보겠습니다. 일단 해당 악성코드는 http://tokenpocketo(.)com/ 으로 유포가 되고 있으며 http://tokenpocketo(.)com/kakaobank(.)apk 으로 해서 악성코드가 다운로드 되어서 사용자가 다운로드 해서 설치를 하고 실행을 하면 실행이 됩니다. 웹 소스를 보면 다음과 같이 돼 있는 것을 확인할 수가 있습니다. 그리고 악성코드 해시값은 다음과 같습니다. 파일명:kakaobank.apk 사이즈:17.0 MB CRC32:eb85d089 MD5:7d3890f4a96d4c6937a5d0e6c39..
오늘은 구글 플레이 스토어에서 유포되는 안드로이드 악성코드인 All in Scanner.apk에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 구글 플레이 스토어에서 유포를 했으면 지금은 삭제 처리가 된 악성코드입니다. 일단 해당 악성코드는 OCR로 위장하고 있으며 해당 악성코드를 실행하면 정상적으로 입이 실행되는 것을 볼 수가 있습니다. 먼저 악성코드 해쉬값은 다음과 같습니다. 파일명:All in Scanner.apk 사이즈:30.3 MB CRC32:a9b096ae MD5:0140fd83f0b12425f68b50649345c2c3 SHA-1:aee19b2a4d002759a2d4aff3dc2be9705e65de07 SHA-256:4ee238ad70564d95a8bf12e71a0a031966ee4893..
오늘은 러시아 연계 APT 그룹 Turla 제작 추정 안드로이드 악성코드인 Process Manager.apk에 대해 글을 적어 보겠습니다. 일단 제목처럼 추정으로 한 이유는 러시아 쪽으로 연결되어서 이렇게 글을 적어 봅니다. 해당 악성코드는 Roz Dhan: Earn Wallet cash 이름으로 구글 플레이 스토어 있었고 많은 사용자가 다운로드 한 악성코드 중 하나입니다. 먼저 해시값은 다음과 같습니다. 파일명:Process Manager.apk 사이즈:377 KB CRC32:afe09139 MD5:4f5617ec4668e3406f9bd82dfcf6df6b SHA-1:45eed0d3f6dc143bcfa19f593523ee07683ca66d SHA-256:e0eacd72afe39de3b327a164f9..
오늘은 구글 MFA 인증 코드 훔치는 안드로이드 악성코드인 에스코바 악성코드 분석을 한번 해 보는 시간을 가져 보겠습니다. 일단 2022년 2월 러시아 어를 사용하는 해킹 포럼에서 Aberebot 개발자가 새 버전을 홍보한 포럼 게시물인 Escobar Bot Android Banking Trojan을 발견했으며 베타 버전이지만 3천 달러에 금액에 판매를 되고 있으며 공격자는 3일간 봇을 무료로 테스트 가능하며 미국 보안 업체인 맥아피로 위장하고 있으며 안티바이러스 엔진 대다수를 회피했다고 경고를 하고 있습니다. 에스코바(Escobar)Escobar는 전자 뱅킹 앱과 웹 사이트와의 사용자 상호 작용에 인터셉트해 피해자의 크리덴셜을 훔칠 목적으로 오버레이 로그인 양식을 표시하며 은행 및 금융 기관을 18개국..
오늘은 윈도우 도움말 파일(.chm) 형식의 악성코드가 국내 사용자를 대상으로 유포되고 있습니다. 일단 해당 악성코드는 자료.zip로 구성이 돼 있고 그리고 압축파일 안에는 자료 보시고 회신 부탁합니다.최신자료(안내자).rar로 돼 있으면 해당 압축을 풀었을 때 도움말이 나오는 것을 확인할 수가 있으면 해당 해쉬값은 다음과 같습니다. 파일명:Guide.chm 사이즈:62.2 KB CRC32:590ec4b3 MD5:3ae6503e836b295955a828a76ce2efa7 SHA-1:d08315c8c93aca7816875c11583b1147878ab8ac SHA-256:8672acfb06258f5b6dec3700cd7f91a0c013a70a9664dbc6cf33a4c6406756ed chm 파일은 컴파일된..
오늘은 한국 건강관리협회 사칭하는 보이스피싱 앱인 건강관리 앱에 대해서 글을 적어보겠습니다. 먼저 한국건강관리협회는 문자 메시지에 인터넷 주소를 포함하지 않고 대표번호만 발송하고 있습니다. 일단 해당 건강관리는 한국 건강관리협회로 속이는 악성코드로서 해쉬값은 다음과 같습니다. 파일명: 건강관리.apk 사이즈:37.9 KB CRC32:245dedf8 MD5:c9248ac9a4340a42399edd6adf4811cf SHA-1:d110ffa36661dbd1da226248d8b1145bdea0ee7f SHA-256:84e33de57226c01ac68176843589d446605972267f7f35ee56137a8cf378bf33 이며 안드로이드 권한은 다음과 같습니다. 기본적으로 보니까 인터넷 연결, 핸드폰 ..
오늘은 발로란트 게임 핵을 위장한 정보 탈취형 악성코드인 Cheat installer에 대해 알아보겠습니다. 발로란트 게임은 라이엇 게임즈 에서 개발한 1인칭 슈팅 게임입니다. 일단 해당 게임의 핵으로 위장해서 악성코드가 유튜브를 통해서 유포되고 있습니다. 여기서 유튜브를 통해서 유포된다는 것은 유튜브 동영상을 보면 악성코드가 감염되는 것이 아니고 유튜브 영상을 보는 것이 아니고 악성코드 제작자가 링크를 걸어 놓은 링크에 접속해서 해당 악성코드를 다운로드를 하고 실행을 했을 때 해당 악성코드가 감염되어서 개인정보가 노출되는 것을 이야기합니다. 유튜브를 경로로 게임 핵이나 크랙을 위장하여 유포되는 사례는 과거에도 있었습니다. 일단 해당 게임 사용자들이 발로란트 게임 핵 프로그램을 다운로드 받기 위해 해당 ..
오늘은 법무부 사칭 악성코드인 법무부·apk에 대해 글을 적어 보겠습니다. 일단 법무부이라는 것은 1948년 7월 17일 대한민국 정부 조직과 동시에 설치된 부처로 설치 이전에는 현재의 법원 업무와 법무부 업무를 총괄했던 사법부가 군정법령 제64호 및 제67호로 설치되어 법무행정을 수행한 적이 있으며 정부과천청사에 법무부가 들어간 것은 1983년 대한민국 국방부와 더불어 정부수립 이래 단 한 번도 명칭이 바뀐 적이 없는 둘뿐인 중앙부처입니다. 일단 해당 악성코드 내부 이미지 파일을 보면 마치 주한 미국 대사관에서 보낸 서류가 들어가져 있는 것을 볼 수가 있고 반송된 내용 것을 확인할 수가 있습니다. 그리고 해당 악성코드를 실행을 시켜주면 국내 거주 아프간인 인도적 특별체류 조치 언론……. 이라고 돼 있는..
오늘은 인도 정부 또는 인도 국방부 직원을 표적을 하는 악성코드인 Android Services(2018.8.10)에 대해 글을 적어 보겠습니다. 해당 악성코드는 APT36(Earth Karkaddan)이라고 하는 APT(Advanced Persistent Threat) 그룹으로 역사적으로 인도의 군사 및 외교 자원을 표적으로 하고 있으며 파키스탄에 기반을 두고 있습니다.그래서 인도 쪽을 공격하는 것입니다. 한국으로 치면 킴수키(Kimsuky)가 한국의 공공시설 등을 공격하는 거와 비슷하다고 생각을 하시면 됩니다. 일단 해당 악성코드가 정상적으로 작동하면 기본적으로 다음과 같은 공격을 수행합니다. 연락처, 통화 기록, SMS, 위치와 같은 민감한 데이터를 훔치고, 스크린 샷을 찍고, 통화를 녹음하고, 오..
오늘은 븍한의 해킹 단체중 하나인 Kimsuky(킴수키) 에서 만든 디지털 지갑 Klip를 노리는 악성코드인 Klip 고객센터]오전송_토큰해결_안내에 대해 글을 적어 보겠습니다. 일단 클립은 카카오의 블록체인 관련 자회사인 그라운드 X가 개발한 디지털 자산 지갑 서비스 으로 디지털 모바일 암호화폐 자산 관리 서비스 퍼블릭 블록체인 플랫폼 클레이튼 기반의 암호화폐들을 지원하며 카카오톡 내에서 쉽게 관리하면서 카카오톡 친구들과 주고받을 수 있으며 클립을 바탕으로 블록체인을 기반한 금융, 콘텐츠, 게임 등의 서비스를 지원하게 을 하고 있습니다. 먼저 해당 악성코드의 해쉬값은 다음과 같습니다. 해쉬값은 다음과 같습니다. 파일명: [Klip 고객센터]오전송_토큰해결_안내.doc 사이즈:216 KB CRC32:75..